Mit den Einstellungen für eingehenden Zugriff wählen Sie aus, welche externen Benutzer und Gruppen auf die von Ihnen ausgewählten internen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den eingehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte Standard oder zu einer Organisation auf der Registerkarte Organisationseinstellungen und nehmen dann Ihre Änderungen vor.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.
Navigieren Sie zu den Einstellungen, die Sie ändern möchten:
- Standardeinstellungen: Wählen Sie zum Ändern der Standardeinstellungen für den eingehenden Zugriff die Registerkarte Standardeinstellungen und dann unter Einstellungen für Zugriff auf eingehenden Datenverkehr die Option Standardwerte für Eingangsdaten bearbeiten aus.
- Organisationseinstellungen: Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte Organisationseinstellungen aus, suchen Sie die Organisation in der Liste (oder fügen Sie eine hinzu), und wählen Sie dann den Link in der Spalte Zugriff auf eingehenden Datenverkehr aus.
Führen Sie die ausführlichen Schritte für die Einstellungen für den eingehenden Zugriff aus, die Sie ändern möchten:
So ändern Sie die Einstellungen für die B2B-Zusammenarbeit in eingehender Richtung
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Organisationseinstellungen aus
Wählen Sie den Link in der Spalte Eingehender Zugriff und die Registerkarte B2B-Zusammenarbeit aus.
Wenn Sie Einstellungen für den eingehenden Zugriff für eine bestimmte Organisation konfigurieren, wählen Sie eine Option aus:
Standardeinstellungen: Wählen Sie diese Option aus, wenn die Organisation die Standardeinstellungen für den eingehenden Zugriff verwenden soll (wie auf der Registerkarte Standardeinstellungen konfiguriert). Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, müssen Sie Ja auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.
Einstellungen anpassen: Wählen Sie diese Option aus, wenn Sie die Einstellungen anpassen möchten, die für diese Organisation anstelle der Standardeinstellungen erzwungen werden sollen. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.
Wählen Sie Externe Benutzer und Gruppen aus.
Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:
- Zugriff zulassen: Lässt zu, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden.
- Zugriff blockieren: Verhindert, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden.
Wählen Sie unter Gilt für eine der folgenden Optionen aus:
- Alle externen Benutzer und Gruppen: wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Benutzer*innen und Gruppen aus externen Microsoft Entra-Organisationen an.
- Externe Benutzer und Gruppen auswählen (erfordert ein Microsoft Entra ID P1 oder P2 Abonnement): Ermöglicht die Anwendung der Aktion, die Sie unter Zugriffsstatus für bestimmte Benutzer und Gruppen innerhalb der externen Organisation.
Hinweis
Wenn Sie den Zugriff für alle externen Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle Ihre internen Anwendungen blockieren (auf der Registerkarte Anwendungen).
Wenn Sie Ausgewählte Benutzer und Gruppen ausgewählt haben, gehen Sie für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, wie folgt vor:
- Wählen Sie Externe Benutzer und Gruppen hinzufügen aus.
- Geben Sie im Bereich Weitere Benutzer und Gruppen hinzufügen im Suchfeld die Benutzerobjekt-ID oder Gruppenobjekt-ID ein, die Sie von Ihrer Partnerorganisation erhalten haben.
- Wählen Sie im Menü neben dem Suchfeld entweder Benutzer oder Gruppe aus.
- Wählen Sie Hinzufügen.
Hinweis
Sie können keine Benutzer oder Gruppen in den Standardeinstellungen für eingehenden Datenverkehr anvisieren.
Wenn Sie mit dem Hinzufügen von Benutzern und Gruppen fertig sind, wählen Sie Übermitteln aus.
Klicken Sie auf die Registerkarte Anwendungen.
Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:
- Zugriff zulassen: Ermöglicht es, dass Benutzer der B2B-Zusammenarbeit auf die unter Gilt für angegebenen Anwendungen zugreifen können.
- Zugriff blockieren: Verhindert, dass Benutzer der B2B-Zusammenarbeit auf die unter Gilt für angegebenen Anwendungen zugreifen können.
Wählen Sie unter Gilt für eine der folgenden Optionen aus:
- Alle Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Ihre Anwendungen an.
- Anwendungen auswählen (erfordert ein Microsoft Entra ID-P1- oder -P2-Abonnement): Mit dieser Option können Sie die unter Zugriffsstatus ausgewählte Aktion auf bestimmte Anwendungen in Ihrer Organisation anwenden.
Hinweis
Wenn Sie den Zugriff auf alle Anwendungen blockieren, müssen Sie auch den Zugriff für alle externen Benutzer und Gruppen blockieren (auf der Registerkarte Externe Benutzer und Gruppen).
Wenn Sie Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:
- Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus.
- Geben Sie im Bereich Auswählen den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
- Wenn Sie die Anwendungen ausgewählten haben, wählen Sie Auswählen aus.
Wählen Sie Speichern.
Überlegungen zum Zulassen von Microsoft-Anwendungen
Wenn Sie mandantenübergreifende Zugriffseinstellungen so konfigurieren möchten, dass nur eine bestimmte Gruppe von Anwendungen zulässig ist, sollten Sie die in der folgenden Tabelle gezeigten Microsoft-Anwendungen hinzufügen. Wenn Sie beispielsweise eine Zulassungsliste konfigurieren und SharePoint Online nur zulassen, kann der Benutzer nicht auf Meine Apps zugreifen oder sich für MFA im Ressourcenmandanten registrieren. Um eine reibungslose Endbenutzerumgebung sicherzustellen, fügen Sie die folgenden Anwendungen in Ihre Einstellungen für die eingehende und ausgehende Zusammenarbeit ein.
Application |
Ressourcen-ID |
Im Portal verfügbar |
Details |
Meine Apps |
2793995e-0a7d-40d7-bd35-6968ba142197 |
Ja |
Standardmäßige Startseite nach eingelöster Einladung. Definiert den Zugriff auf myapplications.microsoft.com . |
Microsoft-App-Zugriffspanel |
0000000c-0000-0000-c000-000000000000 |
No |
Wird bei einigen verspätet gebundenen Anrufen beim Laden bestimmter Seiten in "Meine Anmeldungen" verwendet. Beispielsweise das Blatt "Sicherheitsinformationen" oder "Organisationen". |
Mein Profil |
8c59ead7-d703-4a27-9e55-c96a0054c8d2 |
Ja |
Definiert den Zugriff auf myaccount.microsoft.com das Einschließen von "Meine Gruppen" und "Meine Zugriffsportale". Einige Registerkarten in "Mein Profil" erfordern die hier aufgeführten anderen Apps, um zu funktionieren. |
Meine Anmeldungen |
19db86c3-b2b9-44cc-b339-36da233a3be2 |
No |
Definiert den Zugriff auf den Zugriff mysignins.microsoft.com auf Sicherheitsinformationen. Lassen Sie diese App zu, wenn Benutzer sich für MFA im Ressourcenmandanten registrieren und verwenden müssen (z. B. ist MFA nicht vom Heimmandanten vertrauenswürdig). |
Einige der Anwendungen in der vorherigen Tabelle lassen keine Auswahl über das Microsoft Entra Admin Center zu. Um sie zuzulassen, fügen Sie sie mit der Microsoft Graph-API hinzu, wie im folgenden Beispiel gezeigt:
PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id>
{
"b2bCollaborationInbound": {
"applications": {
"accessType": "allowed",
"targets": [
{
"target": "2793995e-0a7d-40d7-bd35-6968ba142197",
"targetType": "application"
},
{
"target": "0000000c-0000-0000-c000-000000000000",
"targetType": "application"
},
{
"target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2",
"targetType": "application"
},
{
"target": "19db86c3-b2b9-44cc-b339-36da233a3be2",
"targetType": "application"
}
]
}
}
}
Hinweis
Achten Sie darauf, alle zusätzlichen Anwendungen einzuschließen, die Sie in der PATCH-Anforderung zulassen möchten, da dadurch alle zuvor konfigurierten Anwendungen überschrieben werden. Bereits konfigurierte Anwendungen können manuell aus dem Portal oder durch Ausführen einer GET-Anforderung für die Partnerrichtlinie abgerufen werden. Beispiel: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>
Hinweis
Anwendungen, die über die Microsoft Graph-API hinzugefügt werden, die keiner im Microsoft Entra Admin Center verfügbaren Anwendung zugeordnet sind, werden als App-ID angezeigt.
Sie können die Microsoft Admin Portals-App nicht zu den Einstellungen für den eingehenden und ausgehenden mandantenübergreifenden Zugriff im Microsoft Entra Admin Center hinzufügen. Verwenden Sie die Microsoft Graph-API, um externen Zugriff auf Microsoft-Verwaltungsportale zu ermöglichen, um die folgenden Apps einzeln hinzuzufügen, die Teil der Microsoft Admin Portals-App-Gruppe sind:
- Azure-Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Microsoft Entra Admin Center (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Microsoft 365 Defender-Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Microsoft Intune Admin Center (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Microsoft Purview-Complianceportal (80ccca67-54bd-44ab-8625-4b79c4dc7775)
Um die Reihenfolge der Identitätsanbieter anzupassen, mit denen sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen, befolgen Sie diese Schritte.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an. Öffnen Sie dann den Identitätsdienst auf der linken Seite.
Wählen Sie External Identities>Mandantenübergreifende Zugriffseinstellungen aus.
Wählen Sie auf der Registerkarte Standardeinstellungen unter Einstellungen für eingehenden Zugriff die Option Eingehende Standardeinstellungen bearbeiten aus.
Wählen Sie auf der Registerkarte B2B-Zusammenarbeit die Registerkarte Einlösungsreihenfolge aus.
Verschieben Sie die Identitätsanbieter nach oben oder unten, um die Reihenfolge zu ändern, in der sich Ihre Gastbenutzer anmelden können, wenn sie Ihre Einladung annehmen. Sie können die Einlösungsreihenfolge auch hier auf die Standardeinstellungen zurücksetzen.
Wählen Sie Speichern.
Sie können die Einlösungsreihenfolge auch über die Microsoft Graph-API anpassen.
Öffnen Sie den Microsoft Graph-Explorer.
Melden Sie sich als Sicherheitsadministrator bei Ihrem Ressourcenmandanten an.
Führen Sie die folgende Abfrage aus, um die aktuellen Einlösungsreihenfolge abzurufen:
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
- In diesem Beispiel verschieben wir den SAML/WS-Fed IdP-Verbund an den Anfang der Einlösungsreihenfolge über den Microsoft Entra-Identitätsanbieter. Patchen Sie den gleichen URI mit diesem Anforderungstext:
{
"invitationRedemptionIdentityProviderConfiguration":
{
"primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
"fallbackIdentityProvider": "defaultConfiguredIdp "
}
}
Führen Sie die GET-Abfrage erneut aus, um die Änderungen zu überprüfen.
Führen Sie die folgende Abfrage aus, um die Einlösungsreihenfolge auf die Standardeinstellungen zurückzusetzen:
{
"invitationRedemptionIdentityProviderConfiguration": {
"primaryIdentityProviderPrecedenceOrder": [
"azureActiveDirectory",
"externalFederation",
"socialIdentityProviders"
],
"fallbackIdentityProvider": "defaultConfiguredIdp"
}
}
SAML/WS-Fed-Partnerverbund (Direkter Partnerverbund) für überprüfte Microsoft Entra ID-Domänen
Sie können nun Ihre verifizierte Microsoft Entra ID-Domäne hinzufügen, um die direkte Föderationsbeziehung einzurichten. Zuerst müssen Sie die Konfiguration des direkten Partnerverbunds im Admin Center oder über die API einrichten. Stellen Sie sicher, dass die Domäne nicht im selben Mandanten verifiziert wird.
Sobald die Konfiguration eingerichtet ist, können Sie die Einlösungsreihenfolge anpassen. Der SAML/WS-Fed IdP wird als letzter Eintrag zur Einlösungsreihenfolge hinzugefügt. Sie können es in der Einlösungsreihenfolge nach oben verschieben, um sie über dem Microsoft Entra-Identitätsanbieter festzulegen.
Verhindern Sie, dass Ihre B2B-Benutzer und -Benutzerinnen Einladungen mit Microsoft-Konten einlösen
Um zu verhindern, dass Ihre B2B-Gastbenutzer ihre Einladung mit ihren vorhandenen Microsoft-Konten einlösen oder eine neue Einladung erstellen, um die Einladung anzunehmen, befolgen Sie die Schritte unten.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an. Öffnen Sie dann den Identitätsdienst auf der linken Seite.
Wählen Sie External Identities>Mandantenübergreifende Zugriffseinstellungen aus.
Wählen Sie unter Organisationseinstellungen den Link in der Spalte Eingehender Zugriff und auf der Registerkarte B2B-Zusammenarbeit aus.
Wählen Sie die Registerkarte Einlösungsreihenfolge aus.
Deaktivieren Sie unter Fallback-Identitätsanbieter das Microsoft-Dienstkonto (MSA).
Wählen Sie Speichern.
Sie müssen zu jedem Zeitpunkt mindestens einen Fallback-Identitätsanbieter aktiviert haben. Wenn Sie Microsoft-Konten deaktivieren möchten, müssen Sie den Einmal-Passcode per E-Mail aktivieren. Sie können nicht beide Fallbackidentitätsanbieter deaktivieren. Alle vorhandenen Gastbenutzer, die mit Microsoft-Konten angemeldet sind, werden diese weiterhin bei folgenden Anmeldungen verwenden. Sie müssen ihren Einlösungsstatus zurücksetzen, damit diese Einstellung angewendet wird.
So ändern Sie Einstellungen für eingehende Vertrauensstellungen für MFA- und Geräteansprüche
Wählen Sie die Registerkarte Vertrauenseinstellungen aus.
(Dieser Schritt gilt nur für Organisationseinstellungen.) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine der folgenden Optionen aus:
Standardeinstellungen: Die Organisation verwendet die Einstellungen, die auf der Registerkarte Standardeinstellungen konfiguriert sind. Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, wählen Sie Ja aus, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.
Einstellungen anpassen: Sie können die Einstellungen anpassen, die Sie für diese Organisation anstelle der Standardeinstellungen erzwingen möchten. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.
Wählen Sie eine oder mehrere der folgenden Optionen aus:
Vertrauen Sie der Multi-Faktor-Authentifizierung von Microsoft Entra-Mandanten: Aktivieren Sie dieses Kontrollkästchen, um zuzulassen, dass Ihre Richtlinien für den bedingten Zugriff MFA-Ansprüchen von externen Organisationen vertrauen. Während der Authentifizierung überprüft Microsoft Entra ID die Anmeldeinformationen von Benutzer*innen auf einen Anspruch, dass die MFA abgeschlossen wurde. Falls nicht, wird im Basismandanten des Benutzers bzw. der Benutzerin eine MFA-Abfrage initiiert. Diese Einstellung wird nicht angewendet, wenn sich externe Benutzer mit differenzierten delegierten Administratorrechten (GDAP) anmeldet, wie sie beispielsweise von einem Techniker bzw. einer Technikerin bei einem Cloud-Dienstanbieter verwendet werden, der Dienste in Ihrem Mandanten verwaltet. Wenn sich ein externer Benutzender über GDAP anmeldet, ist MFA im Mandanten des Benutzenden immer erforderlich und im Mandanten der Ressource immer vertrauenswürdig. Die MFA-Registrierung eines GDAP-Benutzers wird außerhalb des Mandanten des Benutzers nicht unterstützt. Wenn Ihre Organisation über eine Anforderung verfügt, den Zugriff auf Techniker und Technikerinnen von Dienstanbietern auf der Grundlage von MFA im Mandanten der Benutzenden zu verweigern, können Sie die GDAP-Beziehung im Microsoft 365 Admin Center entfernen.
Konformen Geräten vertrauen: Diese Option ermöglicht es Ihren Richtlinien für bedingten Zugriff, konformen Geräteansprüchen einer externen Organisation zu vertrauen, wenn deren Benutzer auf Ihre Ressourcen zugreifen.
Hybriden, in Microsoft Entra eingebundenen Geräten vertrauen: Diese Option ermöglicht es Ihren Richtlinien für bedingten Zugriff, Ansprüchen von in Microsoft Entra eingebundenen Hybridgeräten einer externen Organisation zu vertrauen, wenn deren Benutzer*innen auf Ihre Ressourcen zugreifen.
(Dieser Schritt gilt nur für Organisationseinstellungen.) Überprüfen Sie die Option Automatische Einlösung:
- Einladungen automatisch beim Mandanten<Mandanten> einlösen: Überprüfen Sie diese Einstellung, wenn Sie Einladungen automatisch einlösen möchten. In diesem Fall müssen Benutzer des angegebenen Mandanten die Einwilligungsaufforderung nicht akzeptieren, wenn sie zum ersten Mal über mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit oder direkte B2B-Verbindung auf diesen Mandanten zugreifen. Diese Einstellung unterdrückt die Einwilligungsaufforderung nur, wenn der angegebene Mandant diese Einstellung auch für den ausgehenden Zugriff überprüft.
Wählen Sie Speichern aus.
Zulassen der Benutzersynchronisierung mit diesem Mandanten
Wenn Sie eingehenden Zugriff für die hinzugefügte Organisation auswählen, werden die Registerkarte Mandantenübergreifende Synchronisierung und das Kontrollkästchen Erlauben Sie Benutzern, sich mit diesem Mandanten zu synchronisieren angezeigt. Die mandantenübergreifende Synchronisation ist ein Einweg-Synchronisationsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern für die B2B-Zusammenarbeit in verschiedenen Mandanten eines Unternehmens automatisiert. Weitere Informationen finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung und in der Dokumentation zu Organisationen mit mehreren Mandanten.
Ändern der Einstellungen für ausgehenden Zugriff
Mit den Einstellungen für ausgehenden Zugriff wählen Sie aus, welche Benutzer und Gruppen auf die von Ihnen ausgewählten externen Anwendungen zugreifen können. Unabhängig davon, ob Sie Standardeinstellungen oder organisationsspezifische Einstellungen konfigurieren, sind die Schritte zum Ändern der mandantenübergreifenden Einstellungen für den ausgehenden Zugriff identisch. Wie in diesem Abschnitt beschrieben, navigieren Sie entweder zur Registerkarte Standard oder zu einer Organisation auf der Registerkarte Organisationseinstellungen und nehmen dann Ihre Änderungen vor.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.
Navigieren Sie zu den Einstellungen, die Sie ändern möchten:
Wählen Sie zum Ändern der Standardeinstellungen für den ausgehenden Zugriff die Registerkarte Standardeinstellungen und dann unter Einstellungen für Zugriff auf ausgehenden Datenverkehr die Option Standardwerte für Ausgangsdaten bearbeiten aus.
Um Einstellungen für eine bestimmte Organisation zu ändern, wählen Sie die Registerkarte Organisationseinstellungen aus, suchen Sie die Organisation in der Liste (oder fügen Sie eine hinzu), und wählen Sie dann den Link in der Spalte Zugriff auf ausgehenden Datenverkehr aus.
Wählen Sie die Registerkarte B2B-Zusammenarbeit aus.
(Dieser Schritt gilt nur für Organisationseinstellungen.) Wenn Sie Einstellungen für eine Organisation konfigurieren, wählen Sie eine Optionen aus:
Standardeinstellungen: Die Organisation verwendet die Einstellungen, die auf der Registerkarte Standardeinstellungen konfiguriert sind. Wenn bereits benutzerdefinierte Einstellungen für diese Organisation konfiguriert wurden, müssen Sie Ja auswählen, um zu bestätigen, dass alle Einstellungen durch die Standardeinstellungen ersetzt werden sollen. Wählen Sie dann Speichern aus, und überspringen Sie die übrigen Schritte in diesem Verfahren.
Einstellungen anpassen: Sie können die Einstellungen anpassen, die Sie für diese Organisation anstelle der Standardeinstellungen erzwingen möchten. Fahren Sie mit den übrigen Schritten in diesem Verfahren fort.
Wählen Sie Benutzer und Gruppen.
Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:
- Zugriff zulassen: Lässt zu, dass die unter Gilt für angegebenen Benutzern und Gruppen in externe Organisationen für die B2B-Zusammenarbeit eingeladen werden.
- Zugriff blockieren: Verhindert, dass die unter Gilt für angegebenen Benutzer und Gruppen für die B2B-Zusammenarbeit eingeladen werden. Wenn Sie den Zugriff für alle Benutzer und Gruppen blockieren, wird dadurch auch der Zugriff auf alle externen Anwendungen über die B2B-Zusammenarbeit blockiert.
Wählen Sie unter Gilt für eine der folgenden Optionen aus:
- All <your organization> users (Alle -Benutzer): Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle Ihre Benutzer und Gruppen an.
- Ausgewählte <Organisation>-Benutzer*innen (erfordert ein Microsoft Entra ID-P1- oder -P2-Abonnement): Mit dieser Option können Sie die unter Zugriffsstatus ausgewählte Aktion auf bestimmte Benutzer*innen und Gruppen anwenden.
Hinweis
Wenn Sie den Zugriff für alle Ihre Benutzer und Gruppen blockieren, müssen Sie auch den Zugriff auf alle externen Anwendungen blockieren (auf der Registerkarte Externe Anwendungen).
Wenn Sie Select <your organization> users and groups (Ausgewählte -Benutzer) ausgewählt haben, gehen Sie für jeden Benutzer oder jede Gruppe, den bzw. die Sie hinzufügen möchten, wie folgt vor:
- Wählen Sie Add <your organization> users and groups (-Benutzer hinzufügen) aus.
- Geben Sie im Bereich Auswählen den Benutzernamen oder den Gruppennamen in das Suchfeld ein.
- Wählen Sie den Benutzer oder die Gruppe in den Suchergebnissen aus.
- Wenn Sie die Benutzer und Gruppen ausgewählt haben, die Sie hinzufügen möchten, wählen Sie Auswählen aus.
Hinweis
Bei der Ausrichtung auf Ihre Benutzer und Gruppen können Sie keine Benutzer auswählen, die die SMS-basierte Authentifizierung konfiguriert haben. Dies liegt daran, dass Benutzer, die über „Verbundanmeldeinformationen“ für ihr Benutzerobjekt verfügen, blockiert werden, um zu verhindern, dass externe Benutzer zu ausgehenden Zugriffseinstellungen hinzugefügt werden. Als Problemumgehung können Sie die Microsoft-Graph-API verwenden, um die Objekt-ID des Benutzers direkt hinzuzufügen oder eine Gruppe anzufügen, zu der der Benutzer gehört.
Wählen Sie die Registerkarte Externe Anwendungen aus.
Wählen Sie unter Zugriffsstatus eine der folgenden Optionen aus:
- Zugriff zulassen: Ermöglicht es, dass Ihre Benutzer über B2B-Zusammenarbeit auf die unter Gilt für angegebenen externen Anwendungen zugreifen können.
- Zugriff blockieren: Verhindert, dass Ihre Benutzer über B2B-Zusammenarbeit auf die unter Gilt für angegebenen externen Anwendungen zugreifen können.
Wählen Sie unter Gilt für eine der folgenden Optionen aus:
- Alle externen Anwendungen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.
- Externe Anwendungen auswählen: Wendet die unter Zugriffsstatus ausgewählte Aktion auf alle externen Anwendungen an.
Hinweis
Wenn Sie den Zugriff auf alle externen Anwendungen blockieren, müssen Sie auch den Zugriff für alle Ihre Benutzer und Gruppen blockieren (auf der Registerkarte Benutzer und Gruppen).
Wenn Sie Externe Anwendungen auswählen ausgewählt haben, gehen Sie für jede Anwendung, die Sie hinzufügen möchten, wie folgt vor:
- Wählen Sie Add Microsoft applications (Microsoft-Anwendungen hinzufügen) oder Weitere Anwendungen hinzufügen aus.
- Geben Sie den Anwendungsnamen oder die Anwendungs-ID (entweder die Client-App-ID oder die Ressourcen-App-ID) in das Suchfeld ein. Wählen Sie dann die Anwendung in den Suchergebnissen aus. Wiederholen Sie diesen Schritt für jede Anwendung, die Sie hinzufügen möchten.
- Wenn Sie die Anwendungen ausgewählten haben, wählen Sie Auswählen aus.
Wählen Sie Speichern aus.
So ändern Sie die Einstellungen für ausgehenden Vertrauensstellungen
(Dieser Abschnitt gilt nur für Organisationseinstellungen.)